Reklama

Luka bezpieczeństwa w GOG nie została usunięta od prawie 2 lat. CD Projekt wie o niej

Exploit w GOG

Wiecie, że instalując GOGa, czyli platformę cyfrowej dystrybucji gier polskiej firmy CD Projekt, narażacie się z miejsca na atak cyberprzestępców? Od prawie dwóch lat niebezpieczny exploit jest znany całemu światu i również firmie, a ta niestety nie reaguje odpowiednio od dłuższego czasu.

Zgłoszony w styczniu 2020 roku przez Josepha Testę exploit w GOG nadal nie został odpowiednio usunięty

Ta luka bezpieczeństwa nie należy do tych, na które można przymknąć oko. Zwłaszcza kiedy z jednego komputera korzysta wielu użytkowników na różnych kontach z zainstalowaną aplikacją GOG. Pozwala on bowiem nadać dowolnemu zalogowanemu kontowi uprawnienia systemowe, a następnie uzyskać dostęp do każdego komputera, na którym zainstalowany jest GOG Client. Z tego poziomu można siać zamęt na lewo i prawo. Dzieje się tak, ponieważ osoba atakująca może dorzucić bibliotekę DLL do GalaxyClient.exe, pokonując mechanizm ochrony “zaufanego klienta” oparty na TCP.

Wprawdzie CD Projekt stosunkowo szybko zareagował, ale było to tylko chwilowe ukrycie problemu pod dywanem. Najpierw reakcja sprowadzała się do zaktualizowania klucza do weryfikacji wiadomości, a następnie (trwa to do dziś) obejmowała awarię aplikacji podczas próby wykorzystania tej luki bezpieczeństwa..

Nie oznacza to jednak, że nie można jej wykorzystać – wręcz przeciwnie, choć metody na to są powszechnie nieznane. CD Projekt dodatkowo wie, że to tylko tymczasowe rozwiązanie i dlatego ciągle pracuje nad wyeliminowaniem tej luki oprogramowania. Jednocześnie przyznaje, że jest to bardzo trudne i programistów to przerosło.